iChatin käyttö palomuurin tai NAT-reitittimen kanssa

  • Viimeksi muutettu: 28 toukokuu, 2009
  • Artikkeli: HT1507
  • Vanha artikkeli: 93208

Yhteenveto

Kun iChatia käytetään NAT-reitittimien ja palomuurien kanssa, tiettyjen porttien on oltava avoinna, jotta palomuuri sallisi video- ja audioneuvottelut. Joissakin laitteissa nämä portit ovat avoinna oletusarvoisesti, kun taas toiset laitteet vaativat määrittelyä. Huomautus: Tässä artikkelissa on lueteltu kaikki iChatin käyttämät portit, ei vain niitä, jotka käyttävät audiovisuaalista sisältöä. Luettelo yksittäisistä porteista on osoitteessa Applen ohjelmistotuotteiden käyttämät tunnetut TCP- ja UDP-portit.

Tuotteet, joita asia koskee

iChat

Verkko-osoitteiden muuttaminen

Jotkin ISP-palveluntarjoajat ja kotiverkkoreitittimet käyttävät Internet-yhteyden jakamiseen tekniikkaa, jota kutsutaan verkko-osoitteiden muuntamiseksi (Network Address Translation, NAT). Vaikka tämä usein häiritseekin muiden neuvottelusovellusten kuva- ja ääniyhteyksiä, iChat käyttää edistyksellistä lähestymistapaa suorien ääni- ja kuvayhteyksien luomiseen jopa sellaisissa verkoissa, jotka käyttävät NAT-tekniikkaa. Itse asiassa iChat toimii hyvin monien suosittujen kotireitittimien kanssa valmiiksi määritettyjen määrittelyjen avulla. Reitittimien luettelo on tässä artikkelissa.

Tietoja palomuureista

Tietoturvasyistä yleisesti yrityksissä ja oppilaitoksissa käytössä olevat palomuurit estävät tietynlaisen lähtevän ja saapuvan Internet-liikenteen verkossa. Mac OS X -käyttöjärjestelmässä on myös henkilökohtainen palomuuri, joka voidaan ottaa käyttöön Järjestelmäasetuksien Jakoasetuksissa.

Internet-liikenne kulkee palomuurin kautta palvelun porteiksi kutsuttujen tunnistenumeroiden perusteella. Jotta iChat toimisi, tiettyjen porttien on oltava avoinna. Verkon ylläpitäjät avaavat yleensä vähimmäismäärän verkkoportteja, minkä jälkeen tiettyjen hyväksyttyjen ohjelmien saapuva ja lähtevä liikenne on sallittu, kun taas muu verkkoliikenne on estetty.

iChat käyttää porttialuetta eri tarkoituksiin. Neuvottelun aikana portteja 16384–16403 käytetään lähettämään, vastaanottamaan ja optimoimaan AV-virtaa. Yksittäisessä neuvottelussa kyseisen 20 portin alueen neljää porttia käytetään äänen ja videon lähettämisessä ja vastaanottamisessa. Lisäksi 5060-porttia käytetään AV-keskustelukutsujen signaloinnissa ja aloittamisessa ja 5678-porttia SNATMAP-palvelussa. Tällöin avoimia portteja on yhteensä 22. Muita käyttötarkoituksia varten olevat portit, kuten Bonjour- ja tiedonsiirtoportti, on lueteltu kahdessa jäljempänä olevassa osassa.

Vihje: Porttien kautta kulkeva liikenne voidaan jakaa eri tyyppeihin, kuten TCP- ja UDP-liikenteeseen. iChat käyttää niistä molempia, mutta pääasiassa UDP-liikennettä. Edistyneet käyttäjät voivat katsoa tarvittaessa tarkempia tietoja jäljempänä olevasta Huomautuksia-osasta.

Mac OS X -palomuuria varten avattavat portit

Kun käytössä on sisäänrakennettu Mac OS X -palomuuri, vain seuraavat portit on avattava: 5060, 5190, 5297, 5298, 5678, 16384–16403. Jos käytössä on Jabber-tunnus Mac OS X 10.4:ssä tai uudemmassa, avaa myös portit 5220, 5222 ja 5223.

Vihje:Voit kiertää ongelman poistamalla kunkin tietokoneen palomuurin tilapäisesti käytöstä.

Voit pitää Mac OS X -palomuurin aktiivisena neuvottelun aikana lisäämällä tarvittavat portit seuraavien ohjeiden mukaisesti:

  1. Valitse OmenavalikostaJärjestelmäasetukset.
  2. Valitse Näytä-valikosta Jako.
  3. Avaa Palomuuri-välilehti.
  4. Valitse Uusi.
  5. Valitse Portin nimi -ponnahdusvalikosta Muu.
  6. Kirjoita Mac OS X 10.3.9:ssä tai vanhemmassa Portin numero-, Alue- tai Sarja-kenttään seuraava numerosarja ja siirry sitten vaiheeseen 7:

    5060, 5190, 5297, 5298, 5678, 16384-16403

    Kirjoita Mac OS X 10.4:ssä tai uudemmassa TCP-portin numero -kenttään seuraava numerosarja (voit jättää pois portit 5220, 5222 ja 5223, jos et käytä Jabber-tunnusta):
    5190, 5220, 5222, 5223, 5298

    Kirjoita UDP-portin numerot -kenttään:
    5060, 5190, 5297, 5298, 5353, 5678, 16384-16403
  7. Kirjoita Kuvaus-kenttään: iChat.
  8. Napsauta OK-painiketta.

Jonkin muun valmistajan palomuuria varten avattavat portit

Jos käytössä on jonkin muun valmistajan palomuuri, avaa seuraavat portit:

5060, 5190, 5297, 5298, 5353, 5678 ja 16384–16403.

Jos palomuuri ei toimi, voit avata kaikki portit 1024–65535 (tai poistaa palomuurin käytöstä tilapäisesti).

Laajennetun kokoonpanon tiedot

Kun käytössä on edellistä monimutkaisempia reitittimiä ja palomuureja, voit määrittää ehtoja (kuten TCP/UDP, saapuvat/lähtevät paketit tai lähde-/kohdeportit). Käytä tällöin seuraavia taulukkoja: Määrittely A:n suojaustaso on alhaisempi kuin määrittely B:n, mutta sen reititinmäärittelyalue on laajempi.

Määrittely A

Lähtevät paketit
Sisäinen lähdeportti
Ulkoinen kohdeportti
5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 5678, 16384–16403
1024–65535
Saapuvat paketit
Ulkoinen lähdeportti
Sisäinen kohdeportti
1024–65535
5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 5678, 16384–16403


Määrittely B

Lähtevät paketit

Sisäinen lähdeportti
Ulkoinen kohdeportti
5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 16384–16403
5060, 5190, 5297, 5298, 5353, 5678 16384–16403

Saapuvat paketit

Ulkoinen lähdeportti
Sisäinen kohdeportti
5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 5678 16384–16403
5060, 5190, 5297, 5298, 5353, 16384–16403

Lisätietoja

Huomautukset

  1. Kaikki iChat-liikenne on UDP-tyyppistä lukuun ottamatta portteja 5190 ja 5298, jotka on avattava sekä TCP- että UDP-liikenteelle; ja portit 5220, 5222 ja 5223, jotka voidaan avata vain TCP-liikenteelle.
  2. Portit 5297, 5298 ja 5353 ovat vain paikallisen liikenteen käytössä. Kyseisten porttien avaamista voi vaatia tietokoneeseen asennettu palomuuriohjelmisto reitittimen sijasta. Näitä portteja ei tarvitse avata siirtoyhteyden luomiseksi Internetiin.
  3. Jakoasetuspaneelin Mac OS X -palomuuri suodattaa vain Mac OS X 10.3.9:n tai vanhemman TCP-paketit. Tästä syystä useimpia tässä artikkelissa lueteltuja portteja ei tarvitse avata Mac OS X -palomuurissa.
  4. Jotkin reititinkohtaiset toiminnot ja määrittelyt voivat häiritä iChatia. Tähän kuuluvat molempien päiden porttimääritykset, SIP-uudelleenkirjoitus, SIP-pudottaminen tai mediaporttien dynaaminen avaus.
  5. Lisätietoja tiedonsiirtoon liittyvistä palomuuriongelmista on artikkelissa iChat: Tiedostoa ei voi lähettää tai vastaanottaa, kun palomuuri on aktiivinen.
  6. SNATMAP-palvelua portissa 5678 käytetään isäntien ulkoisen Internet-osoitteen määrittämiseen, jotta iChat-käyttäjien väliset yhteydet toimivat Network Address Translation (NAT) -toimintoa käytettäessä oikein. SNATMAP-palvelu välittää isännille yhteyden muodostamiseen käytetyn Internet-osoitteen. Tämä palvelu toimii Applen palvelimella, mutta Applelle ei lähetetä henkilökohtaisia tietoja. Tähän palveluun otetaan yhteyttä tiettyjä iChat -palveluita käytettäessä. Tämän palvelun estäminen voi aiheuttaa ongelmia iChat-palveluiden kanssa, jos isännät ovat NAT-toimintoa käyttävissä verkoissa.
Not helpful Somewhat helpful Helpful Very helpful Solved my problem